信息系统等级保护测评要求

信息系统等级保护测评要求系统的清单:序号系统名称测评系统级别1门户网站及对外服务网络系统二级2医院综合管理系统平台三级测评要求1、 评测内容（1） 识别信息安全风险。通过对苏州市第九人民医院重要信息系统在安全技术和安全管理方面的测评，发现信息系统在安全技术和安全管理方面与相应安全等级保护要求之间的差距，并进行风险分析，明确信息系统面临的风险。（2） 增强安全防护能力。依据等级测评结果，并结合苏州市第九人民医院的实际情况，区分轻重缓急，制定针对性的安全整改计划，通过安全整改不断提高信息系统的整体安全保护水平。（3） 顺利完成等保测评。协助苏州市第九人民医院通过公安机关的专家评审，以完成信息系统的等级保护测评及测评备案工作。2、 项目实施原则（1） 客观性和公正性原则：测评人员应当没有偏见，在最小主观判断情形下，按照评估双方相互认可的评估方案，基于明确定义的测评方式和解释，实施评估活动。（2） 可重复性和可再现性原则：依照同样的要求，使用同样的评估方式，对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同评估者评估结果的一致性有关，后者与同一评估者评估结果的一致性有关。（3） 连续性原则：确保在高速变化的信息安全环境中，在有效的服务期间内，保证采购方风险评估结论的准确性和及时性，对于采购方单位新增设的信息资产和服务，或新建立的信息化项目，进行局部系统的重新评估。从经济上，降低了采购方单位的成本，从信息安全性上，保证信息安全测评的动态稳定性。（4） 扩展性原则：在评估过程结束后，信息安全测评过程要保持扩展性，从扩展的属性上进一步加强测评结束后采购方的安全管理有效性和可用性。（5） 保密原则：在测评过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。（6） 互动原则：在整个测评过程中，强调采购方的互动参与，每个阶段都能够及时根据采购方的要求和实际情况对测评的内容、方式做出相关调整，进而更好的进行风险评估工作。（7） 最小影响原则：测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。（8） 规范性原则：信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。（9） 质量保障原则：在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由项目协调小组从中监督，控制项目的进度和质量。3、 测评流程本次等级测评工作包括测评准备过程、方案编制过程、测评实施过程、分析与报告编制过程等四个阶段，具体要求参考GB/T28448-2018。4、 实施要求（1） 实施人员要求应提供全面的组织管理方案和保证措施，以保证项目的顺利实施。同时，应安排有丰富实施经验的人员参加项目的实施。（2） 实施结果要求1） 记录各系统运行现状及安全状况记录被测信息系统的基本情况，完成信息系统备案文档的编写并协助完成等保定级备案工作。2） 等级测评结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为符合、基本符合、不符合）。3） 制定《系统等级测评报告》列出被测信息系统中存在的主要问题以及可能造成的后果，制订《系统等级测评报告》。4） 制定《系统安全建设、整改方案》针对系统存在的主要问题提出安全建设、整改建议，制订《系统安全建设、整改方案》。5） 协助等保整改工作针对系统存在的主要问题提出安全建设、整改建议，协助完成系统整改工作。6）制定《信息系统验收测评报告》提交《信息系统验收测评报告》，报告须提交公安机关有关部门报备。（3）其他要求本次等保测评项目不得转包或者分包，所有测评师必须是中标公司自己的正式在职员工所有测评师必须持证上岗，响应文件中应提供项目组人员名单以及社保主管部门出具的响应单位为其缴纳社保